«Salve, il tuo pacco è stato trattenuto presso il centro centro di spedizione. Si prega di seguire le istruzioni qui». E poi il copione è noto: click, cessione di dati personali, nei casi peggiori di dati bancari, il guaio è fatto. Secondo i numeri che Open può diffondere in esclusiva, negli ultimi due mesi sono arrivate alla Polizia Postale esattamente 2.227 denunce per truffe di questo tipo. Un numero in crescita, visto che l’e-commerce è diventato alla portata di tutti e che tra Black Friday e feste di Natale le nostre caselle di posta cominciano ad essere intasate da pacchi provenienti da qualsiasi tipo di store digitale. A confermarlo è Riccardo Croce, vicequestore della Polizia Postale: «La truffa del pacco in giacenza è tornata. Appartiene alla macro categoria del phishing, il tipo di raggiri che puntano a prendere dati personali. Durante l’anno le tecniche possono cambiare, in questo periodo usare la scusa dei pacchi sembra abbastanza efficace».
Il metodo con cui vengono organizzate queste frodi è lo stesso utilizzato dagli investitori specializzati nel mercato delle start-up: spread and pray, spargi e prega. Vengono scelti migliaia di target e anche se casca nel tranello solo il 5 per cento delle vittime, l’operazione è comunque andata a buon fine. «Le truffe di questo genere – continua Croce – possono essere mirate o massive. Di solito quelle mirate sono rivolte a grandi aziende: si studia il profilo della società, si cercano i punti deboli dei suoi sistemi di sicurezza e si capisce come agire. Quelle massive invece riguardano chiunque». Nella maggior parte dei casi, dal link che arriva con l’sms si atterra in un sito clone che simula e ricorda il sito del e-commerce da cui sembra provenire il messaggio. Qui viene presentato un form, dove si chiede al cliente di inserire dei dati. Da questo punto in poi dipende tutto dalla gravità dell’inganno: in alcuni casi vengono richiesti solo i dati personali, in altri si arriva a ottenere anche i dati del conto corrente.
Tre consigli per difendersi: grammatica, risposte e verifica del servizio
La prima mossa per capire se il messaggio è reale o no è quella di controllare come è scritto. Spesso, infatti, è proprio la grammatica base a tradire la truffa perché gli sms sono messi insieme in maniera un po’ grossolana. Sempre riguardo al testo, è possibile copiarlo direttamente su un motore di ricerca e capire se lo stesso messaggio è arrivato anche ad altri utenti. Provare a fare un controllo con il mittente invece potrebbe non essere così facile: spesso, infatti, i numeri da cui vengono mandati i messaggi sono falsi e vengono cambiati di frequente. Una tecnica che impedisce anche ai filtri anti-spam di capire subito la minaccia. Oltre a tutto questo, nelle truffe più sofisticate, il messaggio può comparire in coda a una conversazione autorevole già presente sul nostro smartphone. Questa tecnica viene utilizzata soprattutto per le frodi bancarie.
Il secondo consiglio per preservare l’integrità del vostro conto corrente è quella di non interagire per alcun motivo con il messaggio. Se iniziate ad avere qualche sospetto, non provate nemmeno ad aprire il link e soprattutto non provate a rispondere. A spiegare questo passaggio è Massimiliano Dona, presidente dell’Unione Nazionale dei Consumatori: «Non bisogna mai cliccare sul link. A volte, oltre a dover inserire i nostri dati personali viene anche richiesto di effettuare un primo pagamento. Solitamente si tratta di una cifra molto bassa, non più di 2 euro, e poi ci ritroviamo chissà come con un abbonamento mensile di 80 euro. E spesso gli utenti se ne accorgono mesi dopo». E questo vale anche per chi pensa che l’ironia sia sempre l’arma più efficace: «A volte – spiega Dona – gli utenti rispondono con insulti o battute sarcastiche. Ecco, non c’è niente di più sbagliato. Infatti il messaggio truffa serve proprio per scoprire se il numero è attivo oppure no».
La terza regola da seguire in caso di dubbio è quella di contattare direttamente l’azienda da cui è arrivato il messaggio. Spesso i nomi a cui si appoggiano sono quelli di brand noti. Fra i messaggi che sono arrivati a chi sta scrivendo questo articolo, uno, per esempio, mette nel titolo BRT, l’azienda nota ancora con il vecchio nome di Bartolini, che spesso si occupa di consegnare i pacchi. Essendo a conoscenza di questo tipo di truffe molte aziende hanno anche numeri dedicati per fare questo tipo di controlli.
Il vishing, quando a rubare i dati è la voce di una persona
Nell’ampio glossario di termini nati dal mondo digitale, uno di quelli legati alle truffe in rete è vishing, il vocal phishing. Anche qui la tecnologia aiuta: grazie a sistemi non troppo complessi da usare è possibile mascherare o cambiare il numero di telefono da cui si chiama. In questo modo sarà una persona fisica a richiedere i dati personali necessari per portare a termine la truffa. Ancora una volta, a spiegarlo è Riccardo Croce: «Spesso il vhishing viene usato per gli ultimi passaggi della truffa. Facciamo un esempio: prima viene mandato un messaggio da una banca spiegando che c’è un problema con il conto. L’utente a questo punto è già in stato di agitazione. Entra nel sito clone, mette i suoi dati e a quel punto gli viene detto di chiamare un numero per avere le ultime informazioni, ad esempio i codici temporanei generati da alcune banche». Ed è proprio con la chiamata che va in scena la parte finale della truffa: «A questo punto un interlocutore chiede all’utente di dettargli il codice temporaneo. Da qui il gioco è fatto: basta un bonifico per svuotare il conto».
Non solo phishing, come proteggersi dal telemarketing selvaggio
Anche tra le chiamate di telemarketing si nascondono non poche insidie. Spesso gli operatori non sono completamente trasparenti nel comunicare il nome dell’azienda per cui lavorano. Altre volte, invece, si tratta di vere è proprie frodi. Negli ultimi tempi, ad esempio, va di gran moda proporre il trading online, con cui si rischia di mettere i propri soldi su un conto non autorizzato. Come fare dunque per difendersi dal telemarketing selvaggio? Anche per questo ci sono delle app, che identificano la provenienza dei numeri sconosciuti, indicando la percentuale di utenti che hanno segnalato quel numero. In alternativa si può inserire il numero sul portale dell’Agcom – l’Autorità garante delle comunicazioni – per vedere se quel numero corrisponde effettivamente a un call center registrato.
Se si vuole dare un taglio netto al problema, invece, si può inviare una Pec all’azienda che continua a chiamare, per chiedere la cancellazione dei nostri dati personali. Oppure ci si può iscrivere a Registro delle Opposizioni, un servizio gratuito che consente di segnalare le telefonate moleste. «Purtroppo – commenta Dona – questo servizio è disponibile solo per i numeri fissi. Per questo l’Unione dei consumatori ha proposto una petizione, che si può firmare sul nostro sito, per estendere il diritto anche ai telefoni cellulari». E se invece l’offerta telefonica ci interessa? «In questo caso bisogna chiedere una mail che specifica tutti i termini della proposta, per assicurarsi che non sia una truffa».
Foto di copertina: Computer foto creata da master1305 – it.freepik.com
Leggi anche:
- Black Friday anche per i Green pass falsi: sul dark web partono gli sconti per i certificati contraffatti
- Dopo l’inchiesta di Open il Garante ordina un’indagine sui Green pass altrui scaricati in rete
- La storia (breve) del portale che prometteva di vendere criptovalute legate ad Amazon
